Folder Beranda memiliki izin Hanya-baca untuk semua orang

11

Saya baru menyadari bahwa folder rumah saya ( / HD / Pengguna / Bob ) memiliki izin Semua Orang 'Baca Saja' ditetapkan pada tingkat dasarnya.

Jika saya menelusuri folder ini dari akun lain, saya dapat melihat folder, tetapi saya tidak diizinkan untuk membuka folder standar OS X (Desktop, Dokumen, Musik, Film, dll ...). Namun, saya telah membuat beberapa folder pada tingkat root dari folder rumah saya, dan yang ADA dapat diakses oleh pengguna lain ini. Mereka dapat membuka folder, dan membuka beberapa dokumen dengan akses ReadOnly.

Apakah ada orang lain yang melihat ini? Apakah ini konfigurasi standar, atau Mac saya kacau? Ini sepertinya lubang keamanan untuk memungkinkan pengguna mengakses file pengguna lain pada sistem.

Saya menjalankan bangunan Yosemite 10.10.1 yang cukup bersih - ini dipasang sekitar sebulan yang lalu. Saya memulihkan file lama saya dari hard drive. Mereka tidak dipulihkan melalui Time Machine

macos finder yosemite security permission slidmac07
sumber

Jawaban:

2

Ini adalah konfigurasi izin standar. Akar folder beranda Anda dibaca secara global, tetapi folder standar OS X di dalamnya seperti Desktop dan Dokumen harus global tanpa akses. Jangan ragu untuk mengatur izin folder lain yang Anda buat di root folder rumah Anda untuk mencocokkan izin pada folder standar.

Jika Anda ingin folder baru, secara default, menjadi global tanpa akses, ubah izin pada root folder rumah Anda, sebarkan izin secara rekursif dan atur ACL untuk mewarisi izin untuk folder baru, namun saya tidak yakin mengenai efek ini mungkin.

GRG
sumber
1
Itu sangat menarik .. ada ide mengapa seperti itu? sepertinya setup yang aneh.
slidmac07
Jadi sebelum saya memposting di sini, saya mengubah akses di tingkat root, dan menyebarkannya. Ini benar-benar mengacaukan komputer saya, dan saya akan menyarankan orang untuk TIDAK mengubah ACL di sini. Setelah memulihkan dari cadangan, saya memutuskan untuk memindahkan direktori non-apel ke folder spesifik Apple
slidmac07
@ slidmac07 Kecuali Anda benar-benar yakin bahwa Anda tahu apa yang Anda lakukan, mengubah / menyebarkan izin secara berulang bisa berbahaya, seperti yang Anda ketahui.
douggro
1
@ganbustein: pada UNIX pra-ACL normal, direktori eksekusi saja "dapat dilewati", tetapi tidak dapat dibaca; bit baca diperlukan untuk benar-benar daftar file dalam direktori. // Ya, orang jahat bisa menyelidiki semua nama yang mungkin, tetapi sistem deteksi intrusi yang layak akan mendeteksi pola akses seperti itu dan berteriak busuk terlalu lama. // Praktik keamanan yang baik mungkin membuat direktori home Anda ~ traversable (eksekusi-saja) (idealnya hanya ~ / Publik, dll.), ~ / Publik dapat dibaca oleh semua orang, dan semua file lainnya di bawah ~ tidak dapat dibaca atau dapat dilalui oleh semua orang secara default , termasuk file baru.
Krazy Glew
1
Jika seluruh poinnya membuat ~ / Publik dapat diakses, saya lebih suka memiliki direktori Publik di luar direktori pengguna saya, misalnya mkdir / Pengguna / Dibagikan / <username> untuk setiap pengguna.
Amdyes
5

Jika Anda ingin folder baru di tingkat atas folder rumah Anda secara default tidak dapat dibaca oleh siapa pun kecuali Anda, tambahkan dua ACL berikut ke folder rumah Anda. JANGAN PROPAGASI IZIN. ACL pertama membuat semua folder baru tidak dapat dibaca, tidak dapat ditulis, dan tidak dapat ditelusuri oleh semua orang. ACL kedua membuat pengecualian untuk Anda. Pastikan untuk memasukkannya dalam urutan ini, sehingga entri kedua dapat mendorong dirinya sendiri ke depan.

chown +a "group:everyone deny list,add_file,search,add_subdirectory,delete_child,directory_inherit,limit_inherit,only_inherit" ~
chown +a# 0 "user:$USER allow list,add_file,search,add_subdirectory,delete_child,directory_inherit,limit_inherit,only_inherit" ~

Tapi sejujurnya, lebih mudah untuk hanya memperbaiki izin pada subfolder yang Anda buat langsung di bawah folder rumah Anda. Maksud saya, ini tidak seperti Anda akan sering melakukannya, bukan?

Dan selain itu, siapa bilang Anda ingin folder baru ini hanya bisa dibaca oleh Anda? Bagaimana jika Anda ingin folder yang dapat dibaca grup untuk beberapa grup tetapi tidak dapat dibaca dunia? ACL yang diwarisi ini hanya akan menghalangi jalan Anda kemudian.

Membuat folder top-of-home-folder harus menjadi peristiwa langka. Solusi ad hoc terbaik untuk acara langka.

Ganbustein
sumber
2
Namun, beberapa telah datang ke MacOS dari UNIX dan / atau Linux, di mana membuat folder folder rumah, atau file dalam hal ini, adalah peristiwa umum. Izin Mac default ini mengacaukan kita, jika kita terus bekerja seolah-olah kita berada pada sistem UNIX yang normal.
Krazy Glew
1

Wow saya cukup terkejut ketika saya menyadari ini.

Solusi lain adalah mengunci direktori home untuk semua orang:

chmod 700 ~

ManuelSchneid3r
sumber
Yang, sebagaimana telah dinyatakan setahun sebelumnya, membuat pembohong dari nama ~ / Umum
WGroleau